个人收集整理,勿做商业用途
图7-1
在Windows 2000中,日志文件的类型比较多,通常有应用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等,可能会根据服务器所开启的服务不同而略有变化。启动Windows 2000时,事件日志服务会自动启动,所有用户都可以查看“应用程序日志”,但是只有系统管理员才能访问“安全日志”和“系统日志”。系统默认的情况下会关闭“安全日志”,但我们可以使用“组策略”来启用“安全日志”开始记录。安全日志一旦开启,就会无限制的记录下去,直到装满时停止运行。
Windows 2000日志文件默认位置:
应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%sys tem32config,默认文件大小512KB,但有经验的系统管理员往往都会改变这个默认大小。
安全日志文件:c:sys temrootsys tem32configSecEvent.EVT
系统日志文件:c:sys temrootsys tem32configSysEvent.EVT
应用程序日志文件:c:sys temrootsys tem32configAppEvent.EVT
Internet信息服务FTP日志默认位置:c:systemrootsys tem32logfilesmsftpsvc1。
Internet信息服务WWW日志默认位置:c:systemrootsys tem32logfilesw3svc1。
Scheduler服务器日志默认位置:c:systemrootschedlgu.txt 。该日志记录了访问者的IP,访问的时间及请求访问的内容。
因Windows2000延续了NT的日志文件,并在其基础上又增加了FTP和WWW日志,故本节对FTP日志和WWW日志作一个简单的讲述。FTP日志以文本形式的文件详细地记录了以FTP方式上传文件的文件、来源、文件名等等。不过由于该日志太明显,所以高级黑客们根本不会用这种方法来传文件,取而代之的是使用RCP。FTP日志文件和WWW日志文件产生的日志一般在c:sys temrootsystem32LogFilesW3SVC1目录下,默认是每天一个日志文件,
FTP和WWW日志可以删除,但是FTP日志所记录的一切还是会在系统日志和安全日志里记录下来,如果用户需要尝试删除这些文件,通过一些并不算太复杂的方法,例如首先停止某些服务,然后就可以将该日志文件删除。具体方法本节略。
Windows 2000中提供了一个叫做安全日志分析器(CyberSafe Log Analyst,CLA)的工具,有很强的日志管理功能,它可以使用户不必在让人眼花缭乱的日志中慢慢寻找某条记录,而是通过分类的方式将各种事件整理好,让用户能迅速找到所需要的条目。它的另一个突出特点是能够对整个网络环境中多个系统的各种活动同时进行分析,避免了一个个单独去分析的麻烦。
5
个人收集整理,勿做商业用途
4.Windows XP日志文件
说Windows XP的日志文件,就要先说说Internet连接防火墙(ICF)的日志,ICF的日志可以分为两类:一类是ICF审核通过的IP数据包,而一类是ICF抛弃的IP数据包。日志一般存于Windows目录之下,文件名是pfirewall.log。其文件格式符合W3C扩展日志文件格式(W3C Extended Log File Format),分为两部分,分别是文件头(Head Information)和文件主体(Body Information)。文件头主要是关于Pfirewall.log这个文件的说明,需要注意的主要是文件主体部分。文件主体部分记录有每一个成功通过ICF审核或者被ICF所抛弃的IP数据包的信息,包括源地址、目的地址、端口、时间、协议以及其他一些信息。理解这些信息需要较多的TCP/IP协议的知识。ICF生成安全日志时使用的格式是W3C扩展日志文件格式,这与在常用日志分析工具中使用的格式类似。 当我们在WindowsXP的“控制面板”中,打开事件查看器,如图7-2所示。
就可以看到WindowsXP中同样也有着系统日志、安全日志和应用日志三种常见的日志文件,当你单击其中任一文件时,就可以看见日志文件中的一些记录,如图7-3所示。
图7-2 图7-3
在高级设备中,我们还可以进行一些日志的文件存放地址、大小限制及一些相关操作,如图7-4所示。
图7-4
若要启用对不成功的连接尝试的记录,请选中“记录丢弃的数据包”复选框,否则禁用。另外,我们还可以用金山网镖等工具软件将“安全日志”导出和被删除。
5.日志分析
当日志每天都忠实的为用户记录着系统所发生的一切的时候,用户同样也需要经常规范管理日志,但是庞大的日志记录却又令用户茫然失措,此时,我们就会需要使用工具对日志进行分析、汇总,日志分析可以帮助用户从日志记录中获取有用的信息,以便用户可以针对不同的情况采取必要的措施。
7.2 系统日志的删除
因操作系统的不同,所以日志的删除方法也略有变化,本文从Windows 98和Windows 2000两种有明显区别的操作系统来讲述日志的删除。
7.2.1 Windows 98下的日志删除
在纯DOS下启动计算机,用一些常用的修改或删除命令就可以消除Windows 98日志记录。当重新启动Windows98后,系统会检查日志文件的存在,如果发现日志文件不存在,系统将自动重建一个,但原有的日志文件将全部被消除。
6
个人收集整理,勿做商业用途
7.2.2 Windows 2000的日志删除
Windows 2000的日志可就比Windows 98复杂得多了,我们知道,日志是由系统来管理、保护的,一般情况下是禁止删除或修改,而且它还与注册表密切相关。在Windows 2000中删除日志首先要取得系统管理员权限,因为安全日志和系统日志必须由系统管理员方可查看,然后才可以删除它们。
我们将针对应用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志的删除做一个简单的讲解。要删除日志文件,就必须停止系统对日志文件的保护功能。我们可以使用命令语句来删除除了安全日志和系统日志外的日志文件,但安全日志就必须要使用系统中的“事件查看器”来控制它,打开“控制面板”的“管理工具”中的“事件查看器”。在菜单的“操作”项有一个名为“连接到另一台计算机”的菜单
输入远程计算机的IP,然后需要等待,选择远程计算机的安全性日志,点击属性里的“清除日志”按钮即可。
7.3 发现入侵踪迹
如何当入侵者企图或已经进行系统的时候,及时有效的发现踪迹是目前防范入侵的热门话题之一。发现入侵踪迹的前题就是应该有一个入侵特征数据库,我们一般使用系统日志、防火墙、检查IP报头(IP header)的来源地址、检测Email的安全性以及使用入侵检测系统(IDS)等来判断是否有入侵迹象。
我们先来学习一下如何利用端口的常识来判断是否有入侵迹象:
电脑在安装以后,如果不加以调整,其默认开放的端口号是139,如果不开放其它端口的话,黑客正常情况下是无法进入系统的。如果平常系统经常进行病毒检查的话,而突然间电脑上网的时候会感到有反应缓慢、鼠标不听使唤、蓝屏、系统死机及其它种种不正常的情况,我们就可以判断有黑客利用电子信件或其它方法在系统中植入的特洛伊木马。此时,我们就可以采取一些方法来清除它,具体方法在本书的相关章节可以查阅。
7.3.1 遭受入侵时的迹象
入侵总是按照一定的步骤在进行,有经验的系统管理员完全可以通过观察到系统是否出现异常现象来判断入侵的程度。
1.扫描迹象
当系统收到连续、反复的端口连接请求时,就可能意味着入侵者正在使用端口扫描器对系统进行外部扫描。高级黑客们可能会用秘密扫描工具来躲避检测,但实际上有经验的系统管理员还是可以通过多种迹象来判断一切。
2.利用攻击
7
个人收集整理,勿做商业用途
当入侵者使用各种程序对系统进行入侵时,系统可能报告出一些异常情况,并给出相关文件(IDS常用的处理方法),当入侵者入侵成功后,系统总会留下或多或少的破坏和非正常访问迹象,这时就应该发现系统可能已遭遇入侵。
3.DoS或DDoS攻击迹象
这是当前入侵者比较常用的攻击方法,所以当系统性能突然间发生严重下降或完全停止工作时,应该立即意识到,有可能系统正在遭受拒绝服务攻击,一般的迹象是CPU占用率接近90%以上,网络流量缓慢、系统出现蓝屏、频繁重新启动等。
7.3.2 合理使用系统日志做入侵检测
系统日志的作用和重要性大家通过上几节的讲述,相信明白了不少,但是虽然系统自带的日志完全可以告诉我们系统发生的任何事情,然而,由于日志记录增加得太快了,最终使日志只能成为浪费大量磁盘空间的垃圾,所以日志并不是可以无限制的使用,合理、规范的进行日志管理是使用日志的一个好方法,有经验的系统管理员就会利用一些日志审核工具、过滤日志记录工具,解决这个问题。
要最大程度的将日志文件利用起来,就必须先制定管理计划。
1.指定日志做哪些记录工作?
2.制定可以得到这些记录详细资料的触发器。
7.3.3 一个比较优秀的日志管理软件
要想迅速的从繁多的日志文件记录中查找到入侵信息,就要使用一些专业的日志管理工具。Surfstats Log Analyzer4.6就是这么一款专业的日志管理工具。网络管理员通过它可以清楚的分析“log”文件,从中看出网站目前的状况,并可以从该软件的“报告”中,看出有多少人来过你的网站、从哪里来、在系统中大量地使用了哪些搜寻字眼,从而帮你准确地了解网站状况。
这个软件最主要的功能有:
1、整合了查阅及输出功能,并可以定期用屏幕、文件、FTP或E-mail的方式输出结果;
2.可以提供30多种汇总的资料;
3.能自动侦测文件格式,并支持多种通用的log文件格式,如MS IIS的W3 Extended log格式;
4.在“密码保护”的目录里,增加认证(Authenticated)使用者的分析报告;
8
相关推荐:
loading